下記の文書に従って Google Cloud VPN を設定します。
https://cloud.google.com/compute/docs/cloudrouter#setting_up_vpn_with_cloud_router
以下、主要な設定画面について説明していきます。
Cloud VPN gateway に割り当てるグローバル IP を取得しておきます。
詳細は Web で提供されている技術資料をご覧ください。
GCP ネットワークとカスタマ側ネットワークの経路情報を BGP により Dynamic に行うため Cloud Router を作成します。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
GCP Developers Console へログインし、メインメニューから "ネットワーキング" を選択します。
メニューの "VPN" を選択し、"VPN 接続を作成" をクリックします。
事前共有鍵、IPsec 終端アドレス、VPN セレクタ、及び、他のパラメータを入力し、VPN instance 設定を行います。
各パラメータの詳細は Web で提供されている技術資料をご覧ください。
GCP ネットワークへ送信されるトラフィックのファイアウォール設定を行います。
詳細は Web で提供されている技術資料をご覧ください。
! ! ! 特権ユーザモードに移行します。 ! Router> enable Enter password: super ←パスワードを入力します(実際は何も表示されません)。 Router# ! ! ! 基本設定モードに移行します。 ! Router# configure terminal Router(config)#! Router(config)#! VPN設定 Router(config)#! Router(config)# vpn enable Router(config)# vpnlog enable Router(config)#! Router(config)# ipsec access-list 1 ipsec ip any any Router(config)# ipsec access-list 64 bypass ip any any Router(config)#! Router(config)# ipsec transform-set AES-SHA ikev2 esp-aes esp-sha-hmac Router(config)# ipsec transform-keysize AES128 esp-aes-cbc 128 256 128 Router(config)#! Router(config)# crypto ikev2 policy 1 Router(config-ikev2)# authentication pre-share Router(config-ikev2)# encryption aes Router(config-ikev2)# group 2 Router(config-ikev2)# hash sha Router(config-ikev2)# key ascii SECRET Router(config-ikev2)# lifetime 36000 Router(config-ikev2)# match identity address 192.0.2.1 Router(config-ikev2)# self-identity address 198.51.100.1 Router(config-ikev2)# set peer 192.0.2.1 Router(config-ikev2)# exit Router(config)#! Router(config)# crypto map GCE1 1 Router(config-crypto-map)# match address 1 Router(config-crypto-map)# set ikev2-policy 1 Router(config-crypto-map)# set pfs group2 Router(config-crypto-map)# set security-association lifetime seconds 10800 Router(config-crypto-map)# set transform-set AES-SHA Router(config-crypto-map)# set transform-keysize AES128 Router(config-crypto-map)# exit Router(config)#! Router(config)# crypto security-association Router(config-crypto-sa)# ikealive retry max 3 Router(config-crypto-sa)# ikealive retry timer 10 Router(config-crypto-sa)# ikealive freq 10 Router(config-crypto-sa)# exit Router(config)#! Router(config)# interface ipsecif 1 Router(config-if ipsecif 1)# crypto map GCE1 Router(config-if ipsecif 1)# ip address 169.254.0.2 255.255.255.252 Router(config-if ipsecif 1)# ip mtu 1390 Router(config-if ipsecif 1)# exit Router(config)#! Router(config)#! 経路設定 Router(config)# ip route 0.0.0.0 0.0.0.0 pppoe 1 Router(config)#! Router(config)#! NAT対象設定 Router(config)# access-list 1 permit any Router(config)#! Router(config)#! route-map 対象設定 Router(config)# access-list 5 permit 192.168.10.0 0.0.0.255 Router(config)#! Router(config)#! フィルタ対象設定 Router(config)# access-list 100 dynamic permit ip any any Router(config)# access-list 101 permit udp any host 198.51.100.1 eq 500 Router(config)# access-list 101 permit esp any any Router(config)# access-list 199 deny ip any any Router(config)#! Router(config)#! route-map 設定 Router(config)# route-map local_net permit 1 Router(config-rmap local_net permit 1)# match ip address 5 Router(config-rmap local_net permit 1)# exit Router(config)#! Router(config)#! BGP 設定 Router(config)# router bgp 65501 Router(config-bgp)# neighbor 169.254.0.1 ebgp-multihop 255 Router(config-bgp)# neighbor 169.254.0.1 remote-as 65500 Router(config-bgp)# redistribute connected route-map local_net Router(config-bgp)# exit Router(config)#! Router(config)#! WANインターフェース設定 Router(config)# interface pppoe 1 Router(config-if pppoe 1)# ip address 198.51.100.1 Router(config-if pppoe 1)# pppoe server internet Router(config-if pppoe 1)# pppoe account xxxxxxxx@xxx.xxx.ne.jp xxxxxxxx Router(config-if pppoe 1)# pppoe type lan Router(config-if pppoe 1)#! NAT設定 Router(config-if pppoe 1)# ip nat inside source list 1 interface Router(config-if pppoe 1)#! フィルタ設定 Router(config-if pppoe 1)# ip access-group 100 out Router(config-if pppoe 1)# ip access-group 101 in Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# exit Router(config)#! Router(config)#! LANインターフェース設定 Router(config)# interface lan 1 Router(config-if lan 1)# ip address 192.168.10.1 255.255.255.0 Router(config-if lan 1)# exit Router(config)#! Router(config)#! proxydns設定 Router(config)# proxydns mode v4 Router(config)#! Router(config)#! DHCPサーバ設定 Router(config)# service dhcp-server Router(config)# ip dhcp pool lan 1 Router(config-dhcp-pool)# dns-server 0.0.0.0 Router(config-dhcp-pool)# default-router 0.0.0.0 Router(config-dhcp-pool)# exit Router(config)#! Router(config)#! 特権ユーザモードに戻ります。 Router(config)#! Router(config)# end Router# ! ! ! 設定を保存します。 ! Router# save SIDE-A.cfg % saving working-config % finished saving Router# ! ! ! 設定を有効にするために再起動します。 ! Router# reset Are you OK to cold start?(y/n) y
Router#show ip route Max entry: 10000 (Commonness in IPv4 and IPv6) Active entry:7 (IPv4), 2 (IPv6) Peak:7 Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF B - BGP, I - IKE, U - SA-UP, D - REDUNDANCY, E - EventAction A - AutoConfig, P - l2tp-ppp > - selected route, * - FIB route, p - stale info. S> * 0.0.0.0/0 [1/0] is directly connected, PPPoE1 B> * 10.100.100.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24 B> * 10.200.200.0/24 [20/100] via 169.254.0.1, IPSECIF1, 00:03:24 C> * 127.0.0.0/8 is directly connected, LOOP0 C> * 198.51.100.1/32 is directly connected, PPPoE1 C> * 169.254.0.0/30 is directly connected, IPSECIF1 C> * 192.168.10.0/24 is directly connected, LAN Router# Router#ping 10.100.100.2 source-interface lan 1 Sending 5, 100-byte ICMP Echos to 10.100.100.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/44/50 ms Router# Router#ping 10.200.200.2 source-interface lan 1 Sending 5, 100-byte ICMP Echos to 10.200.200.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/44/50 ms Router#